Lỗ hổng Pixnapping mới trên Android cho phép đánh cắp mã 2FA mà không cần quyền

[Starlink]

Các thiết bị Android của Google và Samsung đã được phát hiện dễ bị tấn công kênh phụ, có thể bị khai thác để đánh cắp mã xác thực hai yếu tố (2FA), dòng thời gian của Google Maps và các dữ liệu nhạy cảm khác mà người dùng không hề hay biết.

Cuộc tấn công này được một nhóm học giả từ Đại học California (Berkeley), Đại học Washington, Đại học California (San Diego) và Đại học Carnegie Mellon đặt tên mã là Pixnapping.

Về cơ bản, Pixnapping là một nền tảng đánh cắp pixel nhắm vào các thiết bị Android theo cách bỏ qua các biện pháp giảm thiểu của trình duyệt và thậm chí lấy cắp dữ liệu từ các ứng dụng không phải trình duyệt như Google Authenticator bằng cách tận dụng API Android và kênh phụ phần cứng, cho phép ứng dụng độc hại sử dụng kỹ thuật này để thu thập mã 2FA trong vòng chưa đầy 30 giây.

"Quan sát chính của chúng tôi là API Android cho phép kẻ tấn công tạo ra các cuộc tấn công tương tự như kiểu tấn công của [Paul] Stone bên ngoài trình duyệt", các nhà nghiên cứu cho biết trong một bài báo. "Cụ thể, một ứng dụng độc hại có thể ép các pixel của nạn nhân vào đường dẫn kết xuất thông qua các ý định Android và tính toán trên các pixel đó bằng cách sử dụng một chồng các hoạt động Android bán trong suốt."

Nghiên cứu tập trung cụ thể vào năm thiết bị của Google và Samsung chạy Android phiên bản 13 đến 16 và mặc dù không rõ liệu các thiết bị Android từ các nhà sản xuất thiết bị gốc (OEM) khác có dễ bị Pixnapping hay không, nhưng phương pháp cơ bản cần thiết để thực hiện cuộc tấn công này đều có trong tất cả các thiết bị chạy hệ điều hành di động.

Điều làm cho cuộc tấn công mới này trở nên đáng chú ý là bất kỳ ứng dụng Android nào cũng có thể bị lợi dụng để thực thi nó, ngay cả khi ứng dụng không được cấp bất kỳ quyền đặc biệt nào thông qua tệp manifest. Tuy nhiên, cuộc tấn công này giả định rằng nạn nhân đã bị thuyết phục bằng một số cách khác để cài đặt và khởi chạy ứng dụng.

Kênh phụ giúp Pixnapping khả thi là   Đăng nhập để xem liên kết, được một số nhà nghiên cứu tiết lộ vào tháng 9 năm 2023. Cuộc tấn công này về cơ bản lợi dụng tính năng nén trong GPU tích hợp hiện đại (iGPU) để thực hiện các cuộc tấn công đánh cắp pixel gốc chéo trong trình duyệt bằng cách sử dụng bộ lọc SVG.

Kiểu tấn công mới nhất kết hợp điều này với API làm mờ cửa sổ của Android để rò rỉ dữ liệu kết xuất và cho phép đánh cắp dữ liệu từ ứng dụng nạn nhân. Để thực hiện điều này, một ứng dụng Android độc hại được sử dụng để gửi các pixel của ứng dụng nạn nhân vào đường ống kết xuất và phủ lên các hoạt động bán trong suốt bằng cách sử dụng intents - một cơ chế phần mềm Android cho phép điều hướng giữa các ứng dụng và hoạt động.

Nói cách khác, ý tưởng là gọi một ứng dụng mục tiêu chứa thông tin quan tâm (ví dụ: mã 2FA) và gửi dữ liệu để render. Sau đó, ứng dụng giả mạo được cài đặt trên thiết bị sẽ cô lập tọa độ của một pixel mục tiêu (tức là những pixel chứa mã 2FA) và kích hoạt một chồng các hoạt động bán trong suốt để che giấu, phóng to và truyền pixel đó bằng kênh phụ. Bước này sau đó được lặp lại cho mỗi pixel được đưa vào đường ống render.

Các nhà nghiên cứu cho biết Android dễ bị Pixnapping do sự kết hợp của ba yếu tố cho phép ứng dụng:

    Gửi các hoạt động của ứng dụng khác đến đường ống kết xuất Android (ví dụ: với ý định)
    Tạo ra các hoạt động đồ họa (ví dụ: làm mờ) trên các điểm ảnh được hiển thị bởi các hoạt động của ứng dụng khác
    Đo lường các tác dụng phụ phụ thuộc vào màu pixel của các hoạt động đồ họa

Google đang theo dõi sự cố này với mã định danh CVE là CVE-2025-48561 (điểm CVSS: 5.5). Các bản vá cho lỗ hổng đã được gã khổng lồ công nghệ phát hành trong Bản tin Bảo mật Android tháng 9 năm 2025, với lưu ý rằng: "Một ứng dụng yêu cầu rất nhiều hiệu ứng làm mờ: (1) cho phép đánh cắp điểm ảnh bằng cách đo thời gian thực hiện hiệu ứng làm mờ trên các cửa sổ, [và] (2) có lẽ không thực sự hợp lệ."

Tuy nhiên, sau đó người ta phát hiện ra rằng có một giải pháp thay thế có thể được sử dụng để kích hoạt lại Pixnapping. Công ty được cho là đang nỗ lực khắc phục sự cố.

Hơn nữa, nghiên cứu còn phát hiện ra rằng hậu quả của hành vi này là kẻ tấn công có thể xác định xem một ứng dụng tùy ý có được cài đặt trên thiết bị hay không, vượt qua các hạn chế được áp dụng kể từ Android 11 vốn ngăn chặn việc truy vấn danh sách tất cả các ứng dụng đã cài đặt trên thiết bị của người dùng. Việc bỏ qua danh sách ứng dụng vẫn chưa được vá, và Google đánh dấu nó là "sẽ không sửa".

Các nhà nghiên cứu kết luận: "Giống như các trình duyệt lúc ban đầu, thiết kế có chủ đích hợp tác và nhiều bên tham gia của lớp ứng dụng di động khiến cho những hạn chế hiển nhiên trở nên kém hấp dẫn".

"Phân lớp ứng dụng sẽ không biến mất, và các ứng dụng phân lớp sẽ trở nên vô dụng nếu không có chế độ hạn chế cookie của bên thứ ba. Một giải pháp thực tế là làm cho các cuộc tấn công mới kém hấp dẫn như các cuộc tấn công cũ: cho phép các ứng dụng nhạy cảm lựa chọn không tham gia và hạn chế khả năng đo lường của kẻ tấn công để bất kỳ bằng chứng khái niệm nào cũng chỉ là như vậy."